巧用防火墙，让本本安全上网

来源:用户上传      作者:

　　 对于本本用户来说，使用本本可以随时上网冲浪。但是，如何保证本本上网安全，避免遭遇不必要的风险，是其不得不考虑的问题。除了使用各种安全工具保护本本安全外，其实还使用系统内置的防火墙，无须进行复杂的配置，就可以让本本安全地连接外部网络。这里就使用具体的实例，来说明实现的方法。
　　 将恶意网站拒之门外
　　 在上网浏览时，经常有一些恶意或者自己不喜欢的页面不请自来。为了避免骚扰，可以利用防火墙规则将其拒之门外。例如，不管是电信宽带，还是联通宽带，运行商都会自作聪明地配置错误网页提示功能。当您访问并不存在网址时，会自动被定向到ISP默认的错误页面中。例如对于某型宽带来说，当访问错误网址时，会进入某个特定错误处理网页，其中还会夹杂着广告，让人不胜其烦。
　　 在CMD窗口中利用Ping命令对“xxxxxxxxxxx.xx.com.cn”网址进行探测（X代表具体网址），得到其真实的IP地址，例如“218.xx.xxx.xx”。在Windows防火墙管理窗口左侧点击“高级设置”项，在高级安全Windows防火墙窗口左侧点击“入站规则”项，在窗口右侧的“操作”栏中点击“新建规则”项，在规则创建向导界面中选择“自定义”项，在下一步窗口左侧点击“作用域”项，在窗口右侧的“此规则应用于哪些本地IP地址”栏中选择“任何IP地址”项。在“此规则应用于哪些远程IP地址”栏中选择“下列IP地址”项，点击“添加”按钮，在弹出窗口（图1）中选择“此IP地址或子网”项，输入上述IP地址。在下一步窗口中选择“阻止连接”项，点击左侧的“配置文件”项，在右侧选择所有项目，包括域、专用、公用等。在下一步窗口中为本规则设置名称，输入描述信息。点击“完成”按钮，完成本规则创建操作。这样，当系统试图访问禁用的IP后，就会遭到防火墙的拦截，进而避开错误网页的骚扰。当然，按照这种方法，可以限制针对任何IP或者IP地址群的访问，灵活的避开各种恶意网页的侵袭。
　　 拦截非法网络连接
　　 Windows防火墙不仅可以拦截对特定网站的访问，还可以封锁任意程序的上网通道，让其无法连接外部网络。例如当您发现木马潜入本机，而杀毒软件并没有对其清除，那么该木马程序很可能经过了免杀处理。为了防止其非法连接外部主机，泄露本机数据，最直接的方法就是切断其连接的网络通道。比如您发现名称为“xxx.exe”的程序藏身到系统目录中，非法打开了后门，试图和远方的黑客建立联系，就可以按照上述方法，建立一条安全规则。
　　 注意应该选择“出站规则”项。在规则创建窗口中选择“自定义”项，在窗口左侧选择“程序”项，在右侧窗口中选择“此程序路径”项，点击“浏览”按钮，选择该木马程序，例如“c：＼windows＼system32＼xxx.exe”。在下一步窗口左侧点击“操作”项，在右侧窗口选择“阻止连接”项。按照上述方法，选择所有作用域对象。接着输入该规则名称和描述信息，完成该规则的创建操作。这样，该木马程序就无法连接外部网络了。当然，您可以灵活地使用上述方法，对任何程序进行限制，防止其和外界建立网络通道。
　　 完全掌控本本联网权限
　　 在高级安全Windows防火墙窗口右侧打开“本地计算机上的高级安全Windows防火墙”项，在其下点击“属性”项，在弹出窗口（图2）中的“域配置文件”面板中的“防火墙状态”列表中选择“启用（推荐）”项，在“入站连接”列表中选择“阻止所有连接”项，在“出站连接”列表中选择“阻止”项，之后点击确定按钮，就可以切断进出本机的所有连接，将本机彻底和外界隔离开来。顺带说一句，在这种情况下，即使病毒或者木马潜入系统，也无法和Internet建立任何连接，接下来您就可以使用安全工具围捕病毒了。当然，为了仅仅让指定的程序连接网络，我们必须在此基础上对System和DNS两大系统对象开放网络连接才行。
　　 按照上述方法，在“出站规则”模块中新建一个新规則，在规则创建向导窗口中选择“程序”项，在下一步窗口中选择“此程序路径”项，在其下直接输入“System”，在下一步窗口中选择“允许连接”项，之后输入该规则名称和描述信息，完成规则创建操作。
　　 提起DNS，大家都不会陌生，利用DNS域名解析功能，可以轻松完成域名和IP的转换，加快网络访问速度。因为DNS是网络访问的基石，所以应该放行DNS服务。可以按照上述方法，在“出站规则”模块中新建一个新规则，在规则创建向导窗口中选择“自定义”项，在下一步窗口中选择“此程序路径”项，在其下点击“浏览”按钮，选择“C：＼Windows＼System32＼Svchost.exe”程序。在下一步窗口中的“协议类型”列表中选择“UDP”项，在“本地端口”列表中选择“特定端口”项，在其下输入“1024～65536”。表示允许其使用本地端口的范围为1024～65536。在“远程端口”列表中选择“特定端口”项，在其下输入端口号53。依次点击下一步按钮，配置均采用默认设置。注意，在“配置文件”窗口中可以根据实际需要，选择公用或者专用类型。输入规则名称和描述信息，来创建该规则。
　　 完成以上操作后，本本就不再处于网络孤岛状态，具有了最基本的网络连接能力。接下来就可以为特定的程序开放网络连接特权了。这里以开放IE浏览器网络访问特权为例，介绍具体的实现方法。按照上述方法，在“出站规则”模块中创建一条新规则，在向导界面中选择“自定义”项，在下一步窗口（图3）中选择“此路径程序”项，点击“浏览”按钮，选择IE主程序路径，例如“C：＼Program？Files＼InternetExplorer＼iexplorer.exe”。
　　 在下一步窗口中的“协议类型”列表中选择“TCP”项，在“本地端口”列表中选择“特定端口”项，在其下输入“1024～65536”。在“远程端口”列表中选择“特定端口”项，在其下输入端口号53。这表示允许IE使用本机的TCP端口（范围为1024～65536）访问任意目标主机的80端口，实现正常的网页浏览操作。依次点击“下一步”按钮，使用默认的配置参数即可。在“配置文件”窗口中可以根据实际需要，选择公用或者专用类型，之后输入本规则的名称和描述信息，完成规则创建操作。使用了该规则后，IE就可以自动访问网络了。当然，您可以根据实际需要，有选择地开放所需程序的网络访问权限，创建相应规则的方法与上述完全相同。
转载注明来源:https://www.xzbu.com/8/view-14856019.htm